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@ Verfahren zum rechnergestiitzten Austausch kryptographischer Schlussel zwischen einer 
Benutzercomputereinheit und einer Netzcomputereinheit 

(§) Die Erfindung betrifft etn Verfahren, mit dem ein Sitzungs- 
schlussel (K) zwischen einer Benutzercomputereinheit (U) 
und einer Netzcomputereinheit (N) veretnbart werden kann, 
ohne daS ein unbefugter Dritter nutziiche Information 
bezijgiich der Schlussel Oder der Identitat der Benutzercom- 
putereinheit (U) erhaften kann. Dies wird erreicht durch die 
Etnbettung des Prinzips des Et-Gamal Schlusselaustauschs 
in das erfindungsgema(^6 Verfahren. Durch die Verwendung 
zweier Zufallszahlen (t, r) wird die Aktualltat des Sitzungs- 
schlussels (K) gewahrleistet. Der Sitzungsschlussel (K) 
selbst wird niemals ubertragon und kann somit nicht von 
einem unbefugten Dritten ermittelt werden. 
AuSerdem bietet das erfindungsgemaSe Verfahren zusatzli- 
che Sicherheitsmechanismen, wie z. B. die explizite Authen- 
■ tifikation der Netzcomputereinheit (N) durch die Benutzer- 
I computereinheit (U) oder auch die Betatigung des Sitzungs- 
schtusseis (K) von der Netzcomputereinheit (N) an die 
Benutzercomputereinheit (B). 
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Beschreibung 

Informationstechnische Systeme unterliegen ver- 
schiedenen Bedrohungen. So kann z. B, Ubertragene In- 
formation von einem unbefugten Dritten abgehort und 
verandert werden. Eine weitere Bedrohung bei der 
ICommunikation zweier Kommunikationspartner liegt 
in der Vorspiegelung einer falschen Identitat eines 
Kommunikationspartners. 

Diesen und weiteren Bedrohungen wird durch ver- 
schiedene Sicherheitsmechanismen, die das informa- 
tionstechnische System vor den Bedrohungen schutzen 
sollen, begegnet. Ein zur Sicherung verwendet er Si- 
cherheitsmechanismus ist die Verschliisselung der iiber- 
tragenen Daten. Damit die Daten in einer Kommunika- 
tionsbeziehung zwischen zwei Kommunikationspart- 
nern verschlusselt werden konnen, mOssen vor der 
Obertragung der eigentlichen Daten erst Schritte 
durchgefuhrt werden, die die Verschliisselung vorberei- 
ten. Die Schritte konnen z. B. darin bestehen, daB sich 
die beiden Kommunikationspartner auf einen Ver- 
schlusselungsalgorithmus einigen und daB ggf. die ge- 
meinsamen geheimen Schliissel vereinbart werden. 

Besondere Bedeutung gewinnt der Sicherheitsmecha- 
nismus Verschliisselung bei Mobilfunksystemen, da die 
iibertragenen Daten in diesen Systemen von jedem 
Dritten ohne besonderen zusatzlichen Aufwand abge- 
h6rt werden kOnnen. 

Dies fuhrt zu der Anforderung, eine Auswahl bekann- 
ter Sicherheitsmechanismen so zu treffen und diese Si- 
cherheitsmechanismen geeignet zu kombinieren. sowie 
Kommunikationsprotokolle zu spezifizieren, daB durch 
sie die Sicherheit von informationstechnischen Syste- 
men gewahrleistet wird. 

Es sind verschiedene asymmetrische Verfahren zum 
rechnergestiitzen Austausch kryptographischer Schlus- 
sel bekannt- Asymmetrische Verfahren, die geeignet 
sind fiir Mobilfunksysteme, sind (A. Aziz, W. Diffie, "Pri- 
vacy and Authentication for Wireless Local Area Net- 
works", IEEE Personal Communications, 1994. S. 25 bis 
31) und (M. Beller. "Proposed Authentication and Key 
Agreement Protocol for PCS", Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 1 1). 

Das in (A. Aziz, W. Diffie, "Privacy and Authentication 
for Wireless Local Area Networks", IEEE Personal 
Communications, 1994, S. 25 bis 31) beschriebene Ver- 
fahren bezieht sich ausdnicklich auf lokale Neizwerke 
und stellt hohere Rechenleistungsanforderungen an die 
Computereinheiten der Kommunikationspartner wah- 
rend des Schliisselaustauschs. AuBerdem wird in dem 
Verfahren mehr Obertragungskapazitat benotigt als in 
dem erfindungsgemafien Verfahren, da die Lange der 
Nachrichten groOer ist als bei dem erfindungsgemaBen 
Verfahren. 

Das in (M. Beller, "Proposed Authentication and Key 
Agreement Protocol for PCS". Joint Experts Meeting on 
Privacy and Authentication for Personal Communica- 
tions, P&A JEM 1993, 1993, S. 1 bis 11) beschriebene 
Verfahren hat einige grundlegende Sicherheitsziele 
nicht realisiert Die explizite Authentifikation des Net- 
zes durch den Benutzer wird nicht erreicht AuBerdem 
wird ein vom Benutzer an das Netz ubertragener 
SchlQssel vom Netz nicht an den Benutzer bestatigt 
Auch eine Zusicherung der Frische (Aktualitat) des 
Schliissels fQr das Netz ist nicht vorgesehen. Ein weite- 
rer Nachteil dieses Verfahrens besteht in der Beschran- 
kung auf das Rabin-Verfahren bei der impliziten Au- 
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thentifizierung des SchlQssels durch den Benutzer. Dies 
schrankt das Verfahren in einer flexibleren Anwendbar- 
keit ein. AuBerdem ist kein Sicherheitsmechanismus 
vorgesehen, der die Nichtabstreitbarkeit von Qbertrage- 

5 nen Daten gewahrleistet Dies ist ein erheblicher Nach- 
teil vor allem auch bei der Erstellung unanfechtbarer 
Gebuhrenabrechnungen fiir ein Mobilfunksystem. Auch 
die Beschrankung des Verfahrens auf den National In- 
stitute of Standards in Technology Signature Standard 

10 (NIST DSS) als verwendete Signaturfunktion schrankt 
das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 

Aus der US-Patentschrift US 5 222 140 ist ein Verfah- 
ren bekannt, bei dem unter Verwendung sowohl eines 
15 offentlichen als auch eines geheimen SchlQssels sowie 
unter Verwendung einer Zufailszahl ein Sitzungsschlus- 
sel erzeugt wird. Dieser wird mit einem offentlichen 
Schliissel verknupft 

Dieses Verfahren weist im Vergleich zu dem erfin- 
20 dungsgemaBen Verfahren weniger realisierte grundle- 
gende Sicherheitsziele auf. 

Weiterhin ist aus der Patentschrift US 5 153 919 ein 
Verfahren beschrieben. bei dem eine Benutzereinheit 
sich gegeniiber einer Netzeinheit identifiziert. Anschlie- 
25 Bend findet unter Anwendung einer Hash-Funktion zwi- 
schen der Benutzereinheit und der Netzeinheit ein Au- 
thentifizierungsprozeB statt 

Weitere sichere Kommunikationsprotokolle, die aber 
wesentliche grundlegende Sicherheitsziele nicht reali- 
30 sieren, sind bekannt (M. Beller et al. Privacy and Au- 
thentication on a Portable Communication System, 
IEEE Journal on Selected Areas in Communications, 
Vol. 1 1, No. 6. S. 821 -829, 1993). 

Das Problem der Erfindung liegt darin, ein Verfahren 
35 zum rechnergestiitzten Austausch kryptographischer 
Schliissel anzugeben, das die oben genannten Nachteile 
vermeidet. 

Dieses Problem wird durch das Verfahren gemaB Pa- 
tentanspruch 1 gelost. 
40 Die durch das erfindungsgemaBe Verfahren erreich- 
ten Vorteile liegen vor allem in einer erhebiichen Re- 
duktion der Lange der ubertragenen Nachrichten und in 
der Realisierung weiterer Sicherheitsziele. 

Durch das erfindungsgemaBe Verfahren werden fol- 
45 gende Sicherheitsziele realisiert: 

— Gegenseitige explizite Authentifizierung von 
dem Benutzer imd dem Netz, d. h. die gegenseitige 
Verif izierung der behaupteten Identitat, 

50 — Schlusselvereinbarung zwischen dem Benutzer 
und dem Netz mit gegenseitiger impliziter Authen- 
tifizierung, d. h. daB durch das Verfahren erreicht 
wird, daB nach AbschluB der Prozedur ein gemein- 
samer geheimer Sitzungsschliissel zur Verfugung 

55 steht, von ^dem jede Partei weiB, daB nur das au- 
thentische Gegeniiber sich ebenfalls im Besitz des 
geheimen Sitzungsschlussels befinden kann, 

— Zusicherung der Frische (Aktualitat) des Sit- 
zungsschlussels for den Benutzer, 

60 — gegenseitige Bestatigung des Sitzungsschlussels 
von dem Benutzer und dem Netz, d. h. die Bestati- 
gung, daB das Gegeniiber tatsachlich im Besitz des 
vereinbarten geheimen Sitzungsschlussels ist, 

— Senden eines Zertifikats fUr den dffentlichen 
65 SchlQssel des Netzes vom Netz an den Benutzer, 

— Senden eines Zertifikats fur den affentlichen 
Schlussel des Benutzers von der Zertifizierungsin- 
stanz an das Netz, 
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— Zusicherung der Frische (Aktualitat) der Zertifi- 
kate fur den offentlichcn Schliissei des Benutzers 
und f Qr den offentlichcn SchlUssel des Netzes. 

Durch die Weiterbildung gemaB Patentanspruch 2 5 
wird das Sicherheitsziel der Zusicherung der Frische 
(AktuaiitSt) des Sitzungsschliissels fiir das Netz reali- 
siert 

Die Weiterbildung des erfmdungsgemaBen Verfah- 
rens gemaB Patentanspruch 3 ermoglicht die Verwen- 10 
dung von temporiren Benutzeridentitaten. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaB Patentanspruch 4 wird das Sicher- 
heitsziel der Benutzeranonymitat realisiert, d h. die Ver- 
traulichkeit der Identit^t des Benutzers gegenuber Drit- 15 
ten. 

Durch die Weiterbildung des erfindungsgemaBen 
Verfahrens gemaB Patentanspruch 6 wird zusatzlich das 
Sicherheitsziel der Nichtabstreitbarkeit von Daten rea- 
lisiert, die vom Benutzer an das Netz gesendet werden. 20 

Das erfindungsgemaBe Verfahren ist auBerdem sehr 
leicht an unterschiedliche Anforderungen anpaBbar, da 
es sich nicht auf bestimmte Algorithmen ftir Signaturbil- 
dung und Verschlusselung beschrankt 

Weiterbildungen der Erfindung ergeben sich aus den 25 
abhangigen Anspriichen. 

Die Zeichnungen steilen bevorzugte Ausfiihrungsbei- 
spieie der Erfindung dar, die im folgenden naher be- 
schrieben werden. 

Es zeigen 30 

Fig. la, b ein Ablaufdiagramm, das das erfindungsge- 
maBe Verfahren gemaB Patentanspruch 1 darstellt; 

Fig. 2a, b ein Diagramm, das das erfindungsgemaBe 
Verfahren mit zusatzlich realisierten Sicherheitszielen 
gemaB einiger abhangiger Patentanspriiche beschreibt 35 

Anhand der Fig. la, b und 2a, b wird die Erfindung 
weiter erlautert. 

In den Fig. la, b sind durch zwei Skizzen der Abiauf 
des erfindungsgemaBen Verfahrens dargestellt Das er- 
findungsgemaBe Verfahren betrifft den Austausch kryp- 40 
tographischer Schiussel zwischen einer Benutzercom- 
putereinheit U und einer Netzcomputereinheit N, wobei 
unter der Benutzercomputereinheit U eine Compute- 
reinheit eines Benutzers eines Mobiifunknetzes zu ver- 
stehen ist und unter einer Netzcomputereinheit N eine 45 
Computereinheit des Netzbetreibers eines Mobilfunk- 
systems zu verstehen ist 

Die Erfindung beschrankt sich jedoch nicht auf ein 
Mobilfunksystem und somit auch nicht auf einen Benut- 
zer eines Mobilfunksystems und das Netz, sondem karm 50 
in alien Bereichen angewendet werden, in denen ein 
kryptographischer Schliisselaustausch zwischen zwei 
Kommunikationspartnem benotigt wird. Dies kann z. B. 
in einer Kommunikationsbeziehung zwischen zwei 
Rechnern, die Daten in verschlusselter Form austau- 55 
schen woilen, der Fall sein. Ohne BeschrSnkung der All- 
gemeingiiltigkeit wird im folgenden also ein erster 
Kommunikationspartner als Benutzercomputereinheit 
U und ein zweiter Kommunikationspartner als Netz- 
computereinheit N bezeichnet. eo 

Fur das erfindungsgemaBe Verfahren gemaB An- 
spruch i wird vorausgesetzt, daB in der Benutzercom- 
putereinheit U kein vertrauenswiirdiger 6ffentlicher 
Netzschliissel g^ der Netzcomputereinheit N verfiigbar 
ist In der Benutzercomputereinheit U ist ein vertrau- 65 
enswurdiger offentlicher Zertifizierungsschliissel g" der 
Zertifizierungscomputereinheit CA verfugbar. wobei g 
ein erzeugendes Element einer endlichen Gruppe ist 



Dies bedeutet, daB die Benutzercomputereinheit U sich 
den vertrauenswOrdigen offentiichen Netzschliissel g* in 
Form eines Netzzertifikats CertN von einer Zertifizie- 
rungscomputereinheit CA "besorgen" muB. Ebenso 
braucht die Netzcomputereinheit N den vertrauenswiir- 
digen offentiichen BenutzerschQssel 6u in Form eines 
Benutzerzertifikats CertU von der Zertifizierungscom- 
putereinheit CA, 

In der Benutzercomputereinheit U wird eine erste 
Zufallszahl t generiert Aus der ersten Zufallszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen 
Gruppe in der Benutzercomputereinheit U ein erster 
Wert g^ gebildet 

Asymmetrische Verfahren benihen im wesentlichen 
auf zwei Problemen der Kompiexitatstheorie. dem Pro- 
blem zusammengesetzte Zahlen effizient zu faktorisie- 
ren, und dem diskreten Logarithmusproblem (DLP). 
Das DLP besteht darin. daB in geeigneten Rechenstruk- 
turen zwar Exponentiationen effizient durchgefiihrt 
werden konnen, daB jedoch fiir die Umkehrung dieser 
Operation, das Logarithmieren, keine effizienten Algo- 
rithmen bekannt sind 

Solche Rechenstrukturen sind z. B. unter den oben 
bezeichneten endlichen Gruppen zu verstehen. Diese 
sind z. B, die multiplikative Gruppe eines endlichen Kor- 
pers (z. B. Multiplizieren Modulo p, wobei p eine groBe 
Primzahl ist), oder auch sogenannte "elliptische Kur- 
ven". Elliptische Kurven sind vor aliem deshalb interes- 
sant, weil sie bei gleichem Sicherheitsniveau wesentliche 
kiirzere Sicherheitsparameter erlauben. Dies betrifft die 
L^nge der offentiichen Schiussel, die Lange der Zertifi- 
kate, die Lange der bei der Sitzungsschliisselvereinba- 
rung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signaturen, die jeweils im weiteren be- 
schrieben werden. Der Grund dafOr ist, daB die fiir ellip- 
tische Kurven bekarmten Logarithmierverfahren we- 
sentlich weniger effizient sind als die fiir endliche Kor- 
pen 

Eine groBe Primzahl in diesem Zusammenhang be- 
deutet, daB die GroBe der Primzahl so gewahlt werden 
muB, daB die Logarithmierung so aufwendig ist; daB sie 
nicht in vertretbarer Zeit durchgefiihrt werden kann. 
Vertretbar bedeutet in diesem Zusammenhang einen 
Zeitraum entsprechend der Sicherheitspolitik von meh- 
reren Jahren bis Jahrzehnten und langer. 

Nach der Berechnung des ersten Werts g^ wird eine 
erste Nachricht Ml codiert, die mindestens den ersten 
Wert g^ eine IdentitatsgroBe |MU| der Benutzercompu- 
tereinheit U und eine IdentitatsgroBe idcA einer Zertifi- 
zierungscomputereinheit CA, die ein Netzzertifikat 
CertN liefert, das von der Benutzercomputereinheit U 
verifiziert werden kann, aufweist Dies ist notig, wenn 
mehrere Zertifizierungsinstanzen mit unterschiedlichen 
geheimen Zertifizierungsschliisseln vorgesehen werden. 
Wenn das Sicherheitsziel der Benutzeranonymitat reali- 
siert werden soil, wird in der Benutzercomputereinheit 
vor Biidung der ersten Nachricht Ml ein Zwischen- 
schlussel L gebildet Dies geschieht durch Potenzierung 
des offentiichen Zertifizierungsschlussels g" mit der er- 
sten Zufallszahl t Im weiteren wird in diesem Fall die 
IdentitatsgroBe |MU| der Benutzercomputereinheit U 
mit dem Zwischenschliissel L unter Anwendung einer 
Verschlusselungsf unktion Enc verschiQsselt und das Er- 
gebnis stellt einen vierten verschliisselten Term VT4 
dar. Der vierte verschlusselte Term VT4 wird anstatt 
der IdentitatsgroBe |MU| der Benutzercomputereinheit 
U in die erste Nachricht Ml integriert Die erste Nach- 
richt Ml wird von der Benutzercomputereinheit U an 
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die Netzcomputereinheit N iibertragea 

In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert. Die erste Nachricht Ml kann auch 
uber einen unsicheren Kanal, also auch Qbt eine Luft- 
schnittstelle, unverschiusselt iibertragen werden, da die 
Logarithmierung des ersten Wertes g^ nicht in vertret- 
barer Zeit durchgef uhrt werden kann. 

In der Netzcomputereinheit N wird die erste Nach- 
richt Ml decodiert, und eine vierte Nachricht M4 gebil- 
det, die eine Verkettung des der Netzcomputereinheit N 
bekannten dffentlichen Netzschlussels g*, dem ersten 
Wert g^ und der IdentitatsgroBe |MU| der Benutzer- 
computereinheit U, sowie einem ersten signierten Term 
aufweisL Der erste signierte Term wird gebildet durch 
Anwendung einer zweiten Signaturfunktion SigN auf 
einen ersten Signatureingangsterm. Der erste Signatur- 
eingangsterm weist mindestens ein Ergebnis einer drit- 
ten Hash-Funktion h3 auf, die auf mindestens eine Ver- 
kettung des dffentlichen Netzschlussels g^, des ersten 
Werts g^ und der IdentitatsgroBe |MU| der Benutzer- 
computereinheit U angewendet wird. In dem Fall, daB 
das Sicherheitsziel der Benutzeranonymitat realisiert 
werden soil, wird in der vierten Nachricht M4 anstatt 
der Idendtatsgrofle |MU| der Benutzercomputereinheit 
U der vierte verschlusselte Term VT4 codierL In diesem 
Fall weist auch die Verkettung. auf die die dritte Hash- 
Funktion h3 angewendet wird, anstatt der Identitatsgro- 
Be |MU| der Benutzercomputereinheit U den vierten 
verschlusseJten Term VT4 auf. 

Die zweite Signaturfunktion SigN kann, muB aber 
nicht gleich sein der ersten Signaturfunktion Sigu. 

Die vierte Nachricht M4 wird in der Netzcompute- 
reinheit N codiert und anschlieBend an die Zertifizie- 
rungscomputereinheit CA ubertragen. 

In der Zertifizierungscomputereinheit CA wird die 
vierte Nachricht M4 decodiert und mit dem offentlichen 
Schlussel g^ der der Zertifizierungscomputereinheit CA 
bekannt ist, verifiziert. Damit wird die Netzcompute- 
reinheit N als Sender der vierten Nachricht M4 authen- 
tifiziert. 

AnschlieBend wird, falls die Benutzeranonymitat ge- 
wahrleistet wird, also der vierte verschlusselte Term 
VT4 in der vierten Nachricht M4 mitgesendet wurde, in 
der Zertifizierungscomputereinheit CA der Zwischen- 
schliissel L berechnet, indem der erste Wert g^ mit ei- 
nem geheimen Zertifizierungsschlussel u der Zertifizie- 
rungscomputereinheit CA potenziert wird. 

Mit dem Zwischenschliissel L wird unter Verwendung 
der Verschlxisselungsfunktion Enc der vierte verschlus- 
selte Term VT4 entschlusselt, womit in der Zertifizie- 
rungscomputereinheit CA die IdentitatsgrdBe |MU| der 
Benutzercomputereinheit U bekannt ist 

In der Zertifizierungscomputereinheit CA wird dann 
das Benutzerzertifikat CertU ermitteit Das Benutzer- 
zertifikat CertU kann z. B. aus einer der Zertifizierungs- 
computereinheit CA eigenen Datenbank ermitteit wer- 
den, die alle Zertifikate der Computereinheiten enthait, 
fur die die Zertifizierungscomputereinheit CA Zertifika- 
te erstellt 

Um die GQltigkeit des Netzzertifikats CertN und des 
Benutzerzertifikats CertU zu Qberpriifen. wird eine 
Identitatsangabe idw und der in der vierten Nachricht 
mitgesendete dffendiche Netzschlussel g^ die Identi- 
tatsgrdBe |MU| der Benutzercomputereinheit U sowie 
das ermittelte Benutzerzertifikat CertU mit einer Revo- 
kationsliste verglichen, in der ungultige Zertifikate, 
SchlUssel Oder IdentitatsgroBen aufgef uhrt sind. 

AnschlieBend wird aus mindestens einer Verkettung 
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des ersten Werts g\ des dffentlichen Netzschlussels g^ 
und der Identitatsangabe idN der Netzcomputereinheit 
N ein dritter Term gebildet. 

Der dritte Term wird mit Hilfe einer vierten Hash- 
5 Funktion h4 "gehasht" und das Ergebnis der Hash-Funk- 
tion h4 wird unter Verwendung einer dritten Signatur- 
funktion SigCA signiert. Ein Netzzertifikat CertN wird 
nun in der Zertifizierungscomputereinheit CA gebildet, 
wobei das Netzzertifikat CertN mindestens den dritten 
10 Term und den signierten Hash- Wert des dritten Terms 
aufweist 

Weiterhin wird in der Zertifizierungscomputereinheit 
CA ein Zeitstempel TS kreiert. 

In der Zertifizierungscomputereinheit CA wird au- 
15 Berdem ein funfter Term gebildet, der mindestens eine 
Verkettung des Zeitstempels TS. der Identitatsangabe 
idN der Netzcomputereinheit N und des Benutzerzerti- 
fikats CertU aufweist 

Ein zweiter signierter Term wird gebildet durch An- 
20 wendung der dritten Signaturfunktion SigCA auf einen 
zweiten Signatureingangsterm und den geheimen Zerti- 
fizierungsschlussel u. Der zweite Signatureingangsterm 
weist mindestens ein Ergebnis der vierten Hash-Funk- 
tion h4 auf, die auf mindestens den funften Term ange- 
25 wendetwird. 

AnschlieBend wird ein sechster Term gebildet, der 
mindestens den funften Term und den signierten Hash- 
Wert des funften Terms aufweist. 

Eine in der Zertifizierungscomputereinheit CA gebil- 
30 dete fiinfte Nachricht M5 weist mindestens eine Verket- 
tung aus dem Netzzertifikat CertN und dem sechsten 
Term auf. 

Die funfte Nachricht M5 wird in der Zertifizierungs- 
computereinheit CA codiert und an die Netzcompute- 
35 reinheit N ubertragen. Nachdem die funfte Nachricht in 
der Netzcomputereinheit N decodiert ist, wird das 
Netzzertifikat CertN und der zweite signierte Term ver- 
ifiziert 

In der Netzcomputereinheit N wird nun ein vierter 

40 Term gebildet der mindestens eine Verkettung des 6f- 
fentiichen Netzschlussels g* und des signierten Hash- 
Werts des dritten Terms aufweist 

In der Netzcomputereinheit N wird mit Hilfe einer 
ersten Hash-Funktion hi ein Sitzungsschlussel K gebil- 

45 det Als eine erste EingangsgroBe der ersten Hash- 
Funktion hi wird eine Konkatenation eines ersten 
Terms mit der zweiten Zufailszahi r verwendet. Der 
erste Term wird gebildet, indem der erste Wert g^ po- 
tenziert wird mit einem geheimen NetzschlQssel s. Un- 

50 ter einer Hash-Funktion ist in diesem Zusammenhang 
eine Funktion zu verstehen, bei der es nicht moglich ist, 
zu einem gegebenen Funktionswert einen passenden 
Eingangswert zu berechnen. Femer wird einer beliebig 
langen Eingangszeichenfolge eine Ausgangszeichenfol- 

55 ge fester Lange zugeordnet Des weiteren wird ftir die 
Hash-Funktion in diesem Zusammenhang Kollisions- 
freiheii gefordert, d. h. es darf nicht mdglich sein, zwei 
verschiedene Eingangszeichenfolgen zu finden, die die- 
selbe Ausgangszeichenfolge ergeben. Die zweite Zu- 

60 failszahl r findet Verwendung, wie in den Fig, 2a, b be- 
schrieben. wenn das zusatzliche Sicherheitsziel der Zusi- 
cherung der Frische (Aktualitat) des Sitzungsschlussels 
K fiir die Netzcomputereinheit N realisiert werden solL 
Ist dieses Sicherheitsziel nicht benotigt wird die zweite 

65 Zufailszahi r nicht in dem erfindungsgemaBen Verfah- 
ren verwendet 

Nun wird in der Netzcomputereinheit N eine Ant- 
wort A gebildet Zur Bildung der Antwort A sind ver- 
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schiedene Varianten vorgesehen. So ist es z. B. mogiich, 
daB mit dem Sitzungsschliissel K unter Verwendung 
einer Verschlusselungsfunktion Enc eine Konstante 
const verschlOsselt wird. Die Konstante const ist sowohl 
der Benutzercomputereinheit U als auch der Netzcom- 5 
putereinheit N bekannt Auch die VerschlQsselungs- 
funktion Enc ist sowohl der Netzcomputereinheit N als 
auch der Benutzercomputereinheit LJ als die in dem er- 
findungsgemaBen Verfahren zu verwendende Ver- 
schliisselungsfunkdon bekannt 10 

Eine weitere Moglichkeit, die Antwort A zu bilden 
liegt z. B. darin, daB der Sitzungsschliissel K als Ein- 
gangsgroBe fiir eine dritte Hash-Funktion h3 verwendet 
wird und der "gehashte" Wert des Sitzungsschliissels K 
als Antwort A verwendet wird. Weitere Moglichkeiten, 15 
die Antwort A zu bilden, die zur Oberpriifung des Sit- 
zungsschlOssels K in der Benutzercomputereinheit U 
verwendet wird, sind dem Fachmann gelaufig und kon- 
nen als Varianten zu den beschriebenen Vorgehenswei- 
sen verwendet werden. 20 

Eine Aneinanderreihung der zweiten Zufallszahl r, 
des vierten Terms der Antwort A, sowie ein optionales 
erstes Datenfeld datl bilden eine zweite Nachricht M2. 
Die zweite Zufallszahl r und das optionale erste Daten- 
feld datl sind nur in der zweiten Nachricht M3 enthal- 25 
ten, wenn diese in dem erfindungsgemaBen Verfahren 
vorgesehen werden. 

Die zweite Nachricht M2 wird in der Netzcompute- 
reinheit N codiert und zu der Benutzercomputereinheit 
U ubertragen. 30 

In der Benutzercomputereinheit U wird die zweite 
Nachricht M2 decodiert, so daB die Benutzercompute- 
reinheit U eventuell die zweite Zufallszahl r, die Ant- 
wort A sowie eventuell das optionale erste Datenfeld 
datl zur Verfiigung hat Die Lange des optionalen er- 35 
sten Datenfeldes datl kann beliebig groB sein, d. h, es ist 
auch mogiich, daB das optionale erste Datenfeld datl 
nicht vorhanden ist 

In der Benutzercomputereinheit U wird nun ebenfalls 
der Sitzungsschlussel K gebildet, mit Hilfe der ersten 40 
Hash-Funktion hi, die sowohl der Netzcomputereinheit 
N als auch der Benutzercomputereinheit U bekannt ist 
Eine zweite EingangsgroBe der ersten Hash-Funktion 
hi zur Bildung des Sitzungsschlussels K in der Benut- 
zercomputereinheit U weist mindestens einen zweiten 45 
Term auf, Der zweite Term wird gebildet aus einer Ex- 
ponentation eines offentiichen Netzschliissels g^ mit der 
ersten Zufallszahl t Wenn die zweite Zufallszahl r in 
dem erfindungsgemaBen Verfahren vorgesehen wird, so 
weist die zweite EingangsgroBe der ersten Hash-Funk- 50 
tion hi zur Bildung des Sitzungsschlussels K in der Be- 
nutzercomputereinheit U zusatziich die zweite Zufalls- 
zahl r auf. 

Durch die Verwendung der ersten Zufallszahl t und 
der zweiten Zufallszahl r bei der Generierung des Sit- 55 
zungsschlussels K wird die Aktualitat des Sitzungs- 
schlussels K gewahrleistet, da jeweils die erste Zufalls- 
zahl t als auch die zweite Zufallszahl r nur fiir jeweils 
einen Sitzungsschlussel K verwendet werden. 

Somit wird eine Wiedereinspielung eines alteren eo 
Schlussels als Sitzungsschlussel K verhindert Wenn 
aber fiir jeden neuen Sitzungsschlussel K andere Zu- 
fallszahlen verwendet werden, so ist die Wahrschein- 
lichkeit. daB der verwendete Sitzungsschlussel K von 
einem unbefugten Dritten schon herausgefunden wur- 55 
de, wesentlich geringer. Damit ist die Gefahr, daB der 
Teil einer Nachricht, der mit dem Sitzungsschlussel K 
verschlQsselt ist, von einem unbefugten Dritten ent- 



schliisselt werden kann, erheblich reduziert 

Nachdem in der Benutzercomputereinheit U der Sit- 
zungsschliissel K gebildet wurde, wird anhand der emp- 
fangenen Antwort A liberpriift, ob der in der Benutzer- 
computereinheit U gebiidete Sitzungsschlussel K mit 
dem Sitzungsschliissel K, der in der Netzcomputerein- 
heit N gebildet wurde, libereinstimmt 

AbhSngig von den im vorigen beschriebenen Varian- 
ten zur Bildung der Antwort A sind verschiedene Mog- 
lichkeiten vorgesehen. den Sitzungsschlussel K anhand 
der Antwort A zu iiberpriifen. 

Eine Moglichkeit besteht z B. darin, daB, wenn die 
Antwort A in der Netzcomputereinheit N durch Ver- 
schliisseiung der Konstante const mit dem Sitzungs- 
schliissel K unter Verwendung der Verschlusselungs- 
funktion Enc gebildet wurde. die Antwort A entschlus- 
selt wird, und somit die Benutzercomputereinheit U ei- 
ne entschliisselte Konstante const' erhalt die mit der 
bekannten Konstante const verglichen wird. 

Die Oberpriifung des Sitzungsschlussels K anhand 
der Antwort A kann auch durchgefuhrt werden, indem 
die der Benutzercomputereinheit U bekannte Konstan- 
te const mit dem in der Benutzercomputereinheit U 
gebildeten Sitzungsschlussel K unter Verwendung der 
Verschlusselungsfunktion Enc verschlQsselt wird und 
das Ergebnis mit der Antwort A auf Obereinstimmung 
gepriift wird. Diese Vorgehensweise wird z. B. auch ver- 
wendet, wenn die Antwort A in der Netzcomputerein- 
heit N gebildet wird. indem auf den Sitzungsschlussel K 
die dritte Hash-Funktion h3 angewendei wird. In diesem 
Fall wird in der Benutzercomputereinheit U der in der 
Benutzercomputereinheit U gebiidete Sitzungsschlussel 
K als EingangsgroBe der dritten Hash-Funktion h3 ver- 
wendet Der "gehashte" Wert des in der Benutzercom- 
putereinheit U gebildeten Sitzungsschlussel K wird 
dann mit der Antwort A auf Obereinstimmung gepriift 
Damit wird das Ziel der Schliisselbestatigung des Sit- 
zungsschlussels K erreicht 

Dadurch, daB bei der Berechnung des Sitzungsschlus- 
sels K in der Netzcomputereinheit N der geheime Netz- 
schiussel s und bei der Berechnung des Sitzungsschliis- 
sels K in der Benutzercomputereinheit U der offentliche 
Netzschlussei g^ verwendet werden, wird die Netzcom- 
putereinheit N durch die Benutzercomputereinheit U 
authentifiziert. Dies wird erreicht, vorausgesetzt daB fiir 
die Benutzercomputereinheit U bekannt ist, daB der 5f- 
fentliche Netzschlussei g^ tatsachlich zur Netzcompute- 
reinheit N gehort 

Im AnschluB an die Bestatigung des Sitzungsschlus- 
sels K durch Oberpriifung der Antwort A wird ein Si- 
gnaturterm berechnet Hierzu wird mit Hilfe einer zwei- 
ten Hash-Funktion h2 eine vierte EingangsgroBe gebil- 
det Die zweite Hash-Funktion h2 kann, muB aber nicht 
dieseibe Hash-Funktion sein wie die erste Hash-Funk- 
tion hi. Als eine dritte EingangsgroBe fiir die zweite 
Hash-Funktion h2 wird ein Term verwendet, der minde- 
stens den Sitzungsschlussel K enthalt Weiterhin kann 
die dritte EingangsgroBe das optionale erste Datenfeld 
datl Oder auch ein optionales zweites Datenfeld dat2 
enthalten, wenn deren Verwendung in dem erfindungs- 
gemaBen Verfahren vorgesehen wird. 

Es kann spater nicht abgestritten werden, daB die 
Daten, die im ersten optionale Datenfeld datl und im 
zweiten optionalen Datenfeld dat2 enthalten sind, von 
der Benutzercomputereinheit U gesendet werden. 

Die in dem ersten optionalen Datenfeld datl und in 
dem zweiten optionalen Datenfeld dat2 enthaltenen Da- 
ten konnen z. B. Telefonnummem, die aktuelle Zeit oder 
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ahnliche hierfiir geeignete Parameter sein. Diese Infor- 
mation kann als Werkzeug filr eine unanfechtbare Ge- 
biihrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturfunktion Si- 
gu wird der Signaturterm aus mindestens der vierten 5 
Eingangsgr6Qe gebildeL Um einen httheren Sicherheits- 
grad zu erzielen, kann der Signaturterm verschiusselt 
werden. Der Signaturterm wird in diesem Fall mit dem 
SitzungsschlUssel K. unter Verwendung der Verschlus- 
selungsfunktion Enc verschiiisselt und bildet den ersten lo 
verschlQsselten Term VTl. 

Bei Verwendung eines optionalen zweiten Datenfel- 
des dat2 wird in der Benutzercomputereinheit U ein 
dritter verschiusselter Term VT3 berechnet, indem das 
optionaie zweite Datenfeld dat2 mit dem Sitzungs- 15 
schliissel K unter Verwendung der Verschliisselungs- 
funktion Enc verschiusselt wird. Das optionaie zweite 
Datenfeld dat2 kann auch unverschlQsselt, also im KJar- 
text ubertragen werden. 

In der Benutzercomputereinheit U wird eine dritte 20 
Nachricht M3 gebildet und codiert, die mindestens aus 
dem ersten verschliisselten Term VTl, und, wenn das 
optionaie zweite Datenfeld dat2 verwendet wird, dem 
dritten verschliisselten Term VT3 oder dem optionalen 
zweiten Datenfeld dat2 im Klartext besteht. Die dritte 25 
Nachricht M3 wird von der Benutzercomputereinheit U 
zu der Netzcomputereinheit N ubertragen. 

Zusatzlich wird die Authentifikation der Benutzer- 
computereinheit U gegeniiber der Netzcomputerein- 
heit N durch den Signaturterm in der dritten Nachricht 30 
M3 gewahrleistet, durch deren Verwendung auch ga- 
rantiert wird, daB die dritte Nachricht M3 tatsachlich 
aktuell von der Benutzercomputereinheit U gesendet 
wurde. 

In der Netzcomputereinheit N wird die dritte Nach- 35 
richt M3 decodiert und anschlieBend wird der erste ver- 
schlusselte Term VTl sowie eventuell der dritte ver- 
schlusselte Term VT3 entschlusselt Anhand des Benu- 
terzertifikats CertU, das der Netzcomputereinheit N 
zur Verfiigung steht, wird der Signaturterm verifiziert 40 

Wenn die Verwendung des optionalen zweiten Da- 
tenfelds dat2 vorgesehen wird, weist die dritte Nach- 
richt M3 zusatzlich mindestens den dritten verschliissel- 
ten Term VT3 auf oder das optionaie zweite Datenfeld 
dat2 in Klartext, wenn das optionaie zweite Datenfeld 45 
dat2 in Klartext iibertragen werden soli. 

Wenn die dritte Nachricht M3 den ersten verschlQs- 
selten Term VTl. den zweiten verschlusselten Term 
VT2 Oder den dritten verschlusselten Term VT3 auf- 
weist, werden diese in der Netzcomputereinheit N ent- 50 
schlusselt Dies geschieht fur den eventuell vorhandenen 
ersten verschliisselten Term VTl vor der Verifikation 
des Signaturterms. 

Wenn fiir das erfindungsgemaSe Verfahren temporS- 
re Benutzeridentitaten vorgesehen werden, so wird das 55 
im vorigen beschriebene Verfahren um einige Verfah- 
rensschritte erweitert 

In der Netzcomputereinheit N wird fiir die Benutzer- 
computereinheit U eine neue temporSre Identitatsgro- 
6e TMUIN gebildet, die der Benutzercomputereinheit eo 
U im weiteren zugewiesen wird. Dies kann z. B. durch 
Generierung einer Zufallszahl oder durch Tabellen, in 
denen mogliche IdentitatsgrdBen abgespeichert sind, 
durchgefiihrt werden. Aus der neuen temporSren Iden- 
titatsgroBe TMUIN der Benutzercomputereinheit U 65 
wird in der Netzcomputereinheit N ein vierter ver- 
schlUsselter Term VT4 gebildet, indem die neue tempo- 
rSre IdentitatsgroBe TMUIN der Benutzercompute- 
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reinheit U mit dem SitzungsschlOssel K unter Verwen- 
dung der VerschlQsselungsfunktion Enc verschiiisselt 
wird. 

In diesem Fall weist die zweite Nachricht M2 zusatz- 
lich mindestens den vierten verschlOsselten Term VT4 
auf, Der vierte verschliisselte Term VT4 wird dann in 
der Benutzercomputereinheit U entschliisselL Nun ist 
die neue temporlre IdentitStsgrdBe TMUIN der Benut- 
zercomputereinheit U in der Benutzercomputereinheit 
U verfugbar. 

Damit der Netzcomputereinheit N auch gewShrlei- 
stet wird, daB die Benutzercomputereinheit U die neue 
temporare IdentitatsgrdBe TMUIN korrekt empfangen 
hat, weist die dritte EingangsgrdBe fiir die erste Hash- 
Funkuon hi oder fiir die zweite Hash-Funktion h2 zu- 
satzlich mindestens die neue temporare IdentitatsgrdBe 
TMUIN der Benutzercomputereinheit U auf. 

Die in dem erfindungsgemaBen Verfahren verwende- 
ten Hash-Funktionen. die erste Hash-Funktion hi, die 
zweite Hash-Funktion h2 und die dritte Hash-Funktion 
h3 und die vierte Hash-Funktion h4 konnen durch die 
gleiche, aber auch durch verschiedene Hash-Funktionen 
realisiert werden. 

Patentanspruche 

1. Verfahren zum rechnergestutzten Austausch 
kryptographischer Schlussel zwischen einer Benut- 
zercomputereinheit (U) und einer Netzcompute- 
reinheit (N), 

— bei dem aus einer ersten Zufallszahl (t) mit 
Hilfe eines erzeugenden Elements (g) einer 
endlichen Gruppe in der Benutzercompute- 
reinheit (U) ein erster Wert (g^ gebildet wird, 

— bei dem eine erste Nachricht (Ml) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) ubertragen wird, wobei die 
erste Nachricht (Ml) mindestens den ersten 
Wert (g*^, eine IdentitatsgrdBe (|MU|) der Be- 
nutzercomputereinheit (U) und eine Identitats- 
angabe (idcA) einer Zertifizierungscompute- 
reinheit (CA), die der Benutzercomputerein- 
heit (U) ein Netzzertifikat (CertN) liefert, das 
von der Benutzercomputereinheit (U) verifi- 
ziert werden kann. 

— bei dem eine vierte Nachricht (M4) von der 
Netzcomputereinheit (N) an die Zertifizie- 
rungscomputereinheit (CA) ubertragen wird, 
wobei die vierte Nachricht (M4) mindestens 
einen offentlichen Netzschliissel (g^ den er- 
sten Wert (g% die IdentitatsgrdBe (|MU|) der 
Benutzercomputereinheit (U) als Eingangs- 
grdBe aufweisi und wobei eine Ausgangsgrd- 
Be der dritten Hash-Funktion (h3) unter Ver- 
wendung einer zweiten Signaturfunktion 
(SigN) signiert wird, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) der erste signierte Term verifiziert 
wird, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) ein dritter Term gebildet wird, der 
mindestens den ersten Wert (g% den dffentli- 
chen Netzschlussel (g^ und eine Identitatsan- 
gabe (ids) der Netzcomputereinheit (N) auf- 
weist, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) unter Verwendung einer vierten 
Hash-Funktion (h4) ein Hash- Wert iiber den 
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dritten Term gebildet wird, 

— bei dem in der Zertifizierungsoomputerein- 
heit (CA) der Hash-Wert uber den dritten 
Term unter Verwendung einer dritten Signa- 
turfunktion (SigcA) mit einem geheimen Zerti- 5 
fizierungsschliissel (U) signiert wird, 

— bei dem in der Zertifizierungscomputerein- 
heit (CA) ein Netzzertifikat (CertN) gebildet 
wird, das mindestens den dritten Term und den 
signierten Hash-Wert des dritten Terms auf- 10 
weist, 

— bei dem in der Zertifizieningscomputerein- 
heit (CA) auf einen fiinften Term der minde- 
stens einen Zeitstempei (TS), die Identitatsan- 
gabe (idN) der Netzcomputereinheit (N) und 15 
ein Benutzerzertifikat (CertU) aufweist, eine 
vierte Hash-Funktion (h4) angewendet wird, 

— bei dem der Hash-Wert des fiinften Terms 
durch Verwendung der dritten Signaturfunk- 
tion (SigcA) mit dem geheimen Zertifizie- 20 
rungsschliissel (cs) signiert und das Ergebnis 
den zweiten signierten Term darstellt, 

— bei dem eine fCinf te Nachricht (M5), die min- 
destens das Netzzertifikat (CertN), den fiinften 
Term und den zweiten signierten Term auf- 25 
weist. von der Zertifizierungscomputereinheit 
(CA) zu der Netzcxtmputereinheit (N) ubertra- 
gen wird, 

— bei dem in der Netzcomputereinheit (N) das 
Netzzertifikat (CenN) und der zweite signier- 30 
te Term verifiziert werden, 

— bei dem in der Netzcomputereinheit (N) ein 
vierter Term, der mindestens den dffentlichen 
Netzschliissel (g*) und den signierten Hash- 
Wert des dritten Terms aufweist, gebildet wird, 35 

— bei dem in der Netzcomputereinheit (N) ein 
Sitzungsschliissel (K) mit Hilfe einer ersten 
Hash-Funktion (hi) gebildet wird, wobei eine 
erste EingangsgroBe der ersten Hash-Funk- 
tion (hi) mindestens einen ersten Term auf- 40 
weist, der gebildet wird durch eine Exponen- 
tiation des ersten Werts (g^) mit dem geheimen 
Netzschlussel (s), 

— bei dem in der Netzcomputereinheit (N) 
eine Antwort (A) gebildet wird, 45 

— bei dem eine zweite Nachricht (M2) von der 
Netzcomputereinheit (N) an die Benutzercom- 
putereinheit (U) iibertragen wird, wobei die 
zweite Nachricht (M2) mindestens die Ant- 
wort (A) und den vierten Term aufweist, 50 

— bei dem in der Benutzercomputereinheit 
(U) das Netzzertifikat (CertN) verifiziert wird, 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschliissel (K) gebildet wird mit 
Hilfe der ersten Hash-Funktion (hi), wobei ei- 55 
ne zweite EingangsgrdBe der ersten Hash- 
Funktion (hi) mindestens einen zweiten Term 
aufweist, der gebildet wird durch eine Expo- 
nentiation des offentlichen Netzschliisseis (g^) 
mit der ersten Zufallszahl (t), ao 

— bei dem in der Benutzercomputereinheit 
(U) der Sitzungsschlussel (K) anhand der Ant- 
wort (A) fiberpriift wird, 

— bei dem in der Benutzercomputereinheit 
(U) mit Hilfe einer zweiten Hash-Funktion (h2) 65 
Oder der ersten Hash-Funktion (hi) eine vierte 
Eingangsgr5Be gebildet wird, wobei eine dritte 
EingangsgroBe fur die erste Hash-Funktion 
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(hi) Oder fiir die zweite Hash-Funktion (h2) 
zur Bildung der vierten EingangsgroBe minde- 
stens den SitzungsschiQssel (K) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U) ein Signaturterm aus mindestens der vier- 
ten EingangsgroBe gebildet wird unter An- 
wendung einer ersten Signaturfunktion (Sigu), 

— bei dem eine dritte Nachricht (M3) von der 
Benutzercomputereinheit (U) an die Netzcom- 
putereinheit (N) iibertragen wird, wobei die 
dritte Nachricht (M3) mindestens den Signa- 
turterm aufweist, 

— bei dem in der Netzcomputereinheit (N) der 
Signaturterm verifiziert wird. 

2. Verfahren nach Anspruch 1, 

— bei dem in der Netzcomputereinheit (N) die 
erste EingangsgroBe der ersten Hash-Funk- 
tion (hi) zusatzlich mindestens eine zweite Zu- 
fallszahl (r) aufweist, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich die zweite Zufallszahl (r) aufweist, und 

— bei dem in der Benutzercomputereinheit 
(U) die zweite EingangsgroBe der ersten Hash- 
Funktion (hi) zusatzlich mindestens die zweite 
Zufallszahl (r) aufweist 

3. Verfahren nach Anspruch 1 oder 2, 

— bei dem in der Netzcomputereinheit (N). 
nachdem die erste Nachricht (Ml) empfangen 
wurde und bevor die zweite Nachricht (M2) 
gebildet wird, fiir die Benutzercomputerein- 
heit (U) eine neue temporare IdentitatsgroBe 
(TMUIN) der Benutzercomputereinheit (U) 
gebildet wird, 

— bei dem in der Netzcomputereinheit (N) aus 
der neuen temporaren IdentitatsgroBe 
(TMUIN) der Benutzercomputereinheit (U) 
ein vierter verschlusseiter Term (VT4) gebildet 
wird, indem die neue temporare Identitatsgro- 
Be (TMUIN) der Benutzercomputereinheit (U) 
mit dem Sitzungsschliissel (K) unter Verwen- 
dung der Verschliisseiungsfunktion (Enc) ver- 
schliisseit wird, 

— bei dem die zweite Nachricht (M2) zusatz- 
lich mindestens den vierten verschliisselten 
Term (VT4) aufweist, 

— bei dem in der Benutzercomputereinheit 
(U), nachdem die zweite Nachricht (M2) emp- 
fangen wurde und bevor die vierte Eingangs- 
groBe gebildet wird, der vierte verschlusselte 
Term (VT4) entschltisselt wird, und 

— bei dem die dritte EingangsgroBe fiir die 
erste Hash-Funktion (hi) oder fur die zweite 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgroBe zusatzlich mindestens die neue 
temporare IdentitatsgroBe (TMUIN) der Be- 
nutzercomputereinheit (U) aufweist 

4. Verfahren nach einem der Ansprilche 1 bis 3, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der ersten Nachricht (Ml) ein 
ZwischenschlUssel (L) gebildet wird. indem ein 
offentlicher Zertifizierungsschlussel (g^) mit 
der ersten Zufallszahl (t) potenziert wird, 

— bei dem in der Benutzercomputereinheit 
(U) vor Bildung der ersten Nachricht (Ml) aus 
der IdentitatsgroBe (|MU|) der Benutzercom- 
putereinheit (U) ein zweiter verschliisselter 
Term (VT2) gebildet wird, indem die Identi- 
tatsgroBe (|MU|) mit dem Zwischenschliissel 
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(L) unter Anwendung der VerschJusselungs- 
funktion (Enc) verschlQsselt wird, 

— bei dem die erste Nachricht (Ml) anstatt der 
IdentititsgroBe (|MU|) der Benutzercompute- 
reinheit (U) den zweiten verschliisselten Term 5 
(VT2) aufweist, 

— bei dem die vierte Nachricht (M4) anstatt 
der IdentitatsgrdBe (|MU|) der Benutzercom- 
putereinheit (U) den zweiten verschlQsselten 
Term ( VT2) aufweist. und 1 0 

— bei dem in der Zertifizierungscomputerein- 
heit (CA), nachdem die vierte Nachricht (M4) 
empfangen wurde, der zweite verschlusselte 
Term (VT2) entschlusselt wird. 

5. Verfahren nach einem der Anspriiche 1 bis 4, 15 

— bei dem die zweite Nachricht (M2) zusatz- 
iich ein optionales erstes Datenfeld (datl) auf- 
weist, und 

— bei dem die dritte EingangsgrdBe fur die 
erste Hash-Funktion (hi) oder fiir die zweite 20 
Hash-Funktion (h2) zur Bildung der vierten 
EingangsgroBe zusatziich mindestens das op- 
tionale erste Datenfeid (datl) aufweist. 

6. Verfahren nach einem der Anspruche 1 bis 5. 

— bei dem in der Benutzercomputereinheit 25 
(U) vor Bildung der dritten Nachricht (M3) ein 
dritter verschlusselter Term (VT3) gebildet 
wird» indem ein optionales zweites Datenfeld 
(dat2) mit dem Sitzungsschlussel (K) unter An- 
wendung der Verschiusselungsfunktion (Enc) 30 
verschliisseit wird. 

— bei dem die dritte Nachricht (M3) zusatziich 
mindestens den dritten verschlussehen Term 
(VT3) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 35 
nachdem die dritte Nachricht (M3) empfangen 
wurde, der dritte verschlusselte Term (VT3) 
entschlusselt wird. 

7. Verfahren nach einem der Anspruche 1 bis 6, 

— bei dem in der Benutzercomputereinheit 40 
(U) vor Bildung der dritten Nachricht (M3) ein 
erster verschlusselter Term (VTl) gebildet 
wird, indem der Signaturterm mit dem Sit- 
zungsschlussel (K) unter Anwendung der Ver- 
schiusselungsfunktion (Enc) verschliisseit wird, 45 

— bei dem die dritte Nachricht (M3) anstatt 
des Signaturterms den ersten verschlusselten 
Term (VTl) aufweist, und 

— bei dem in der Netzcomputereinheit (N), 
nachdem die dritte Nachricht (M3) empfangen 50 
wurde und bevor der Signaturterm verifiziert 
wird, der erste verschlusselte Term (VTl) ent- 
schlusselt wird 

8. Verfahren nach einem der AnsprOche 1 bis 7. bei 
dem in der Netzcomputereinheit (N) die Antwort 55 
(A) gebildet wird, indem eiae Konstante (const), die 

in der Netzcomputereinheit (N) und in der Benut- 
zercomputereinheit (U) bcrrannt sind, mit dem Sit- 
zungsschlussel (K) unter Anwendung der Ver- 
schiusselungsfunktion (Enc) verschliisseit wird. eo 

9. Verfahren nach einem der Anspruche 1 bis 7, 

— bei dem in der Netzcomputereinheit (N) die 
Antwort (A) gebildet wird, indem auf den Sit- 
zungsschlussel (K) eine dritte Hash-Funktion 
(h3) angewendet wird, und es 

— bei dem in der Benutzercomputereinheit 
(U) die Antwort (A) uberpruft wird, indem auf 
den Sitzungsschlussel (K) die dritte Hash- 
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Funktion (h3) angewendet wird und das Er- 
gebnis mit der Antwort (A) verglichen wird. 

10. Verfahren nach einem der AnsprQche 1 bis 8. bei 
dem in der Benutzercomputereinheit (U) die Ant- 
wort (A) uberpruft wird. indem die Konstante 
(const) mit dem SitzungsschlQssel (K) unter Anwen- 
dung der Verschiusselungsfunktion (Enc) ver- 
schliisseit wird und das Ergebnis mit der Antwort 
(A) verglichen wird. 

1 1. Verfahren nach einem der Anspriiche 1 bis 8, bei 
dem in der Benutzercomputereinheit (U) die Ant- 
wort (A) uberpriift wird, indem die Antwort (A) mit 
dem Sitzungsschlflssel (K) unter Anwendung der 
Verschliisselungsfunktion (Enc) entschlQsselt wird 
und eine entschlusselte Konstante (const') mit der 
Konstante (const) verglichen wird. 

12. Verfahren nach einem der Anspruche 1 bis 11, 
bei dem in der Zertifizierungscomputereinheit (CA) 
mindestens eine der GroBen, die Identitatsangabe 
(idN) der Netzcomputereinheit (N), die Identitdts- 
groBe (|MU|) der Benutzercomputereinheit (U), der 
offentliche Netzschlussel (g*) oder das Benutzer- 
zertifikat (CertU) anhand einer Revokationsliste 
uberpriift wird. 

13. Verfahren nach einem der Anspruche 1 bis 5, bei 
dem die dritte Nachricht (M3) zusatziich minde- 
stens ein optionales zweites Datenfeld (dat2) auf- 
weist 
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